支付卡行业数据安全标准(PCI DSS)最初于2004年制定,现已更新至4.0版本,旨在加强持卡人数据安全,并推动全球范围内统一数据安全措施的广泛采用。该标准适用于所有存储、处理或传输持卡人数据的实体。标准涵盖六个领域共12项要求,旨在确保组织建立完善的管控措施和流程以保障持卡人数据安全。
针对第三方风险管理, 要求12:通过组织政策和计划支持信息安全,第12.8节:管理与第三方服务提供商(TPSP)关系相关的信息资产风险,指出第三方服务提供商(TPSP)有责任确保数据按照适用的PCI DSS要求得到保护,并保持合规状态。 PCI将第三方服务提供商定义为组织外包业务的实体:
- 其支付业务,或;
- 涉及传输、存储或保护持卡人数据的系统(如路由器、防火墙、数据库、物理安全措施和/或服务器)的管理。
PCI DSS v4.0 中第三方服务提供商要求
PCI标准要求组织管理其第三方服务提供商(TPSP),包括:
- 对第三方服务提供商的数据安全控制措施和实践进行尽职调查
- 制定适当的第三方服务提供商协议以实施管控措施
- 确定适用哪些第三方数据安全控制措施和要求
- 至少每年一次对第三方服务提供商的合规性进行监督
需要特别注意的是,支付交易服务提供商(TPSPs)有责任根据组织要求证明其符合PCI DSS标准。该标准规定验证合规性的主要方式有两种(2种),包括:
- 年度评估:支付技术服务提供商(TPSP)每年接受PCI DSS评估,并向其客户提供证明材料,以证实该TPSP符合适用的PCI DSS要求。
- 多次按需评估:若支付技术服务提供商(TPSP)未接受年度PCI DSS评估,则必须在客户要求时接受评估,并/或参与其每位客户的PCI DSS评估,且每次评估结果均须提供给相关客户。
核心要点:第三方服务提供商管理的基本要求包括评估并持续监控第三方服务提供商。
尽管PCI DSS不具备法律约束力,且合规也无法完全杜绝数据泄露风险,但对于处理信用卡或借记卡交易的任何企业而言,其合规性仍是强制性要求。
PCI DSS 要求
请参阅以下列表,了解与第三方相关的PCI DSS指导原则摘要,以及满足这些要求的最佳实践。鉴于本文档的范围(并考虑到PCI标准的广泛性),仅对要求12.8进行说明。
请务必通读整个PCI DSS标准,以确定各项要求如何适用于您的业务。
要求12.8
与第三方服务提供商(TPSP)关系相关的信息资产风险得到管控。
12.8.1 应维护一份包含所有第三方服务提供商(TPSPs)的清单,这些提供商与账户数据共享或可能影响账户数据安全,并需为其提供的每项服务附上说明。
建立全面的第三方服务供应商档案,包含供应商企业信息、地理位置、使用的第四方技术以及最新的运营和财务洞察。 首先通过电子表格模板或API连接现有采购/供应商管理系统,将第三方服务商数据导入中央管理系统,彻底消除易出错的手动操作流程。随后向所有第三方管理责任方提供简易信息收集表,确保各方数据均汇入集中化的第三方档案。该档案应通过电子邮件邀请向全体人员开放,无需任何培训或系统专业知识即可使用。
12.8.2 与第三方支付服务提供商(TPSPs)的书面协议按以下方式维护:
- 与所有共享账户数据或可能影响 CDE 安全的 TPSP 签订书面协议。
- 书面协议包括 TPSPs 的确认,即他们对 TPSPs 代表实体拥有或以其他方式存储、处理或传输的账户数据的安全负责,或在可能影响实体 CDE 安全的范围内负责。
集中管理供应商合同的分发、讨论、存档与审核流程,实现合同生命周期的自动化管理,确保关键条款得到有效执行。
- 集中管理所有合同及其属性(如类型、关键日期、金额、提醒事项和状态),并提供基于角色的自定义视图。
- 使用工作流(基于用户或合同类型)来自动化合同管理生命周期
- 自动化提醒与逾期通知,以优化合同审查流程
- 集中管理合同讨论与评论追踪
- 以角色为基础的权限管理存储合同和文件,并记录所有访问操作的审计轨迹
- 启用支持离线合同和文档编辑的版本控制跟踪功能
- 利用基于角色的权限机制,实现职责分配、合同访问权限以及读取/写入/修改权限的管控。
凭借此项能力,您可确保供应商合同中明确界定责任归属及审计权条款,并据此对服务水平协议(SLA)进行追踪与管理。
12.8.3 已建立与支付服务提供商开展合作的既定流程,包括在合作前进行适当的尽职调查。
首先对所有第三方进行固有风险量化评估。用于计算第三方固有风险以确定优先级的标准包括:
- 验证控件所需的内容类型
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度
- 接触过业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和健康
- 声誉
通过这种固有的风险评估,您的团队可以自动对供应商进行分级;设定适当的进一步审查级别;并确定持续评估的范围。
基于规则的分层逻辑通过综合考量数据交互、财务状况、监管合规及声誉风险等因素,实现对供应商的分类管理。
12.8.4 实施一项计划,以至少每12个月一次的频率监控支付卡行业数据安全标准(PCI DSS)合规状况。
寻找具备丰富第三方风险评估预制模板库的解决方案——包括专门针对PCI标准设计的模板。评估可在供应商入驻时、合同续签时,或根据合作关系重大变化按需频率(如季度或年度)进行。
评估工作由中央统一管理,并依托工作流、任务管理及自动化证据审查功能,确保团队在整个合作关系生命周期内能够全面掌握第三方风险状况。
重要的是,应根据风险评估结果纳入内置的整改建议,以确保第三方能够及时妥善地处理风险,并能向审计人员提供适当的证据。
在此过程中,需持续追踪并分析第三方面临的 外部 威胁。通过监控互联网及暗网中的网络威胁与漏洞,同时追踪公共及私有渠道的声誉、制裁及财务信息,全面掌握风险动态。所有监测数据应与评估结果关联,并集中存储于各供应商的统一风险登记册中,从而优化风险审查、报告、整改及响应流程。
普遍存在的差异
主流第三方风险管理平台可通过以下方式帮助组织满足PCI标准中发布的第三方服务提供商要求:
- 提供一个中央平台,用于自动化处理所有第三方服务供应商的入职、库存及管理工作。
- 为所有内部利益相关方构建全面的第三方服务提供商档案,其中包含持续更新的网络安全、业务运营、财务状况、合规性及声誉风险洞察。
- 集中管理第三方服务提供商合同的分发、讨论、保留和审查,确保关键安全要求被纳入、达成一致并通过关键绩效指标(KPI)予以执行。
- 评估固有风险以指导第三方服务提供商的风险画像、分层与分类工作——并确定持续尽职调查活动的适当范围与频率。
- 在第三方服务提供商生命周期的每个阶段实现风险评估与补救措施的自动化。
- 通过监控互联网和暗网中的网络威胁与漏洞,持续追踪并分析第三方服务提供商面临的外部威胁。
- 通过集中化评估、监控和证据管理,简化PCI审计报告流程。
若需了解Prevalent如何帮助简化PCI DSS框架下的第三方服务供应商管理,请立即申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
